От Reply URL до Goodbye Security: как стать админом Entra ID за 5 минут

Исследователи кибербезопасности из Secureworks Counter Threat Unit выявили уязвимость в алгоритме авторизации Microsoft Entra ID (ранее известной как Azure Active Directory). Дефект позволял злоумышленникам повышать свои системные привилегии.

Проблема заключалась в неактивном Reply URL, то есть в адресе, на который пользователя перенаправляет система после идентификации. Для успешной атаки такого рода жертве нужно кликнуть на заранее подготовленную вредоносную ссылку. После клика авторизационный код авторизационный код отправляется на неактивный URL, вместо легитимного.

«Атакующий мог бы использовать этот URL, чтобы перехватывать авторизационные коды, обменивая их на токены доступа» — говорится в техническом отчете Secureworks. Отчет уточняет, что злоумышленник, скорее всего, обратился бы к Power Platform API, таким образом расширив свои права. Собрать информацию о потенциальной жертве можно через Azure AD Graph API.

Получив роль системного администратора, хакеру было бы несложно удалить определенное окружение в системе (полностью исключить любой модуль).

Сервер отправляет специальный код или токен на сайт, указанный администратором. Поэтому так важно настроить этот адрес правильно еще на этапе разработки.

После обнаружения дефекта 5 апреля 2023 года Microsoft немедленно приступила к его устранению. Уже на следующий день был выпущен патч. Secureworks также разработала открытый инструмент, который позволяет другим организациям сканировать свои системы на наличие подобных уязвимостей.

Обнаружение уязвимости совпало с периодом роста фишинговых атак, в которых часто используется DocuSign — популярная платформа для электронной подписи и документооборота. Это подчеркивает актуальность проблемы безопасности для всех онлайн-сервисов. «Создав подменный URL для имитации доверенного веб-сайта, злоумышленник без труда введет пользователя в заблуждение» — комментирует Джордж Гласс из компании Kroll.